绿盟君教你两招选对云服务商

-回复 -浏览
楼主 2021-03-16 14:13:12
举报 只看此人 收藏本贴 楼主

2006年,Google在搜索引擎大会上首次提出“云计算”的概念,发展至今已经经历了整整11个年头。这10年,“云计算”得到了飞速的发展,随着其技术的不断完善和发展,已经得到了广泛的认可和接受,来自Gartner报告显示,未来70%以上的企业不需要建设自己的数据中心或不需要拥有自己的业务IT资产,到2020年,“云转移”将影响超过1万亿美元的IT支出,可以说,“云化”或者“云转移”已经成为IT发展的必然趋势。

仅以中国为例,目前可以提供云服务的厂家

主要有以下几大类(排名不分先后):

◆?互联网公司:百度、腾讯、阿里、京东…..

◆?运营商:移动、联通、电信

?IDC服务提供商:万国、中金、世纪互联、蓝汛……

◆?大型IT服务提供商:华为、金山、中兴、首信……

◆?其他……

根据调研数据, 信息安全风险是客户采用云计算所要考虑的首要问题,针对如此多的云计算提供商,中小企业如何从安全角度出发选择适合自己的云计算提供商显得极为重要。

在小编看来,中小企业在选择云计算同时,安全的考虑可以从两个方面出发。

标准化(适用于绝大多数用户)

对于绝大多数中小企业,安全技术人员相对较少,面多众多的云计算提供商,如何检查其提供的服务是否安全,就显得尤为困难了,因此选择一个获得相关云计算安全认证的提供商是最直接、有效的方法。

随着国家和行业对云计算或云平台提供商的监管要求越来越严格和标准化,安全已经成为组织/机构在选用或建设云平台时需要考虑的核心因素,涉及到云计算的规划、设计、建设等多个阶段。

目前安全指标可以参考两个认证,一个是国内的可信云服务认证(国内另一个比较有分量的标准是公安部即将发布的云等保,由于目前还在审批阶段,因此不纳入本文),另一个是国际的CSA-Star认证。

可信云服务认证(国内)

目前可信云服务认证可以评估十二大类云服务,覆盖当前业界主流服务类型,包括云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务、云缓存服务、本地和全局负载均衡服务、云分发服务、在线应用服务、桌面云服务和企业移动化管理服务。

可信云服务认证的具体测评内容包括三大类共16项,分别是:数据管理类(数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性)、业务质量类(业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性)和权益保障类(服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款)。

目前获得可信云服务认证的用户主要为国内一些知名企业,如国内三大运营商,百度,腾讯,京东,华为,中兴,搜狐等,根据提供服务的不同,获得的认证的类别也不同。

CSA-Star(国际)

CSA-Star测评参考的CCW(云端安全控制矩阵)没有对大类进行分类,但同样包括16项控制域(检查内容),分别是:应用和接口安全(4检查点)、审计保障(3检查点)、业务连续性及管理(12检查点)、变更控制及配置管理(3检查点)、数据安全及信息生命周期管理(8检查点)、数据中心安全(9检查点)、加密和密钥管理(3检查点)、风险管理(11检查点)、人力资源(12检查点)、身份及访问控制(13检查点)、架构及虚拟化安全(12检查点)、操作和移植(5检查点)、移动安全(20检查点)、安全事件管理及问题取证(5检查点)、供应链管理(9检查点)。

目前,通过的CSA-Star认证的组织主要为国内外企业,如阿里巴巴(金牌)、HP(银牌)、Exponential-e、Pulsant等。

精细化(适合对安全需求明确的用户)

对于一些标准和要求比较高的中小企业用户,在选择云计算的时候,除了关注标准问题,还非常关注各个标准的具体细节。

目前云计算安全最详细的标准当属CSA-Star的CCW(云控制矩阵),目前已经更新到3.0版本,CCW具体条款这里不做介绍,感兴趣的用户可以通过CSA网站直接下载,这里小编将CCW的条款概括为三大类核心安全问题,分别是:数据、业务和服务保障。这里面着重要提的是服务保障,因为绝大多数用户过分关注安全技术问题,而忽略对应的安全服务及职责分工等问题。

以下从服务、数据以及业务三个方面出发,列出我们需要的重点关注的问题,以此为中小企业选择云计算安全的时候提供参考。

服务相关重点

1、云平台使用的范围、策略、权利、变更、限制;

2、数据如何存储和保护;

3、如何控制云平台提供商访问我的数据;

4、服务终止后数据保留及销毁;

5、事件的响应和报告;

6、是否有其他适用条款;

7、对于企业不能接受的条款,需要与云平台提供商协商解决。

数据相关重点

1、云平台服务上是否可以访问我的数据;

2、数据自行删除后,云平台服务商是否可以保留数据;

3、通过密钥对数据进行加密和管理;

4、数据隔离手段及步骤;

5、对于服务商层面的数据迁移,是否有解决方案并且易于实现;

6、当终止服务,数据是否可以永久删除;

7、确定数据类型:结构化、非结构化;

8、如数据需要共享,需要对共享人,IP等进行控制;

9、通过专业安全设备对数据库进行访问。

业务相关重点

1、云平台服务商提供的服务最好与企业自身业务有切合点;

2、云平台服务商最好没有重大安全事件;

3、云平台服务商技术人员水平及实力;

4、对业务中断、数据丢失等情况进行安全评估,并制定相应措施;

5、如果云平台故障,是否有业务保障措施;

6、服务终止后的数据转移;

7、云平台数据存储及备份策略;

8、建立本地数据备份机制。

中小企业可以根据自己的规模,人才储备,业务特点等情况从上面所述两个方面选择自己的云计算提供商,当然也可以根据自己对安全的实际需求,制定适合自己的云计算选择策略。




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

我要推荐
转发到
国产香蕉尹人视频在线_被公侵犯中文字幕在线观看_办公室制服丝祙在线播放